Berichten

Uitspraken directeur Autoriteit Persoonsgegevens na afloop ALV van de NGFG

Na afloop van de Algemene ledenvergadering (ALV) van het Nederlands Genootschap voor Functionarissen Gegevensbescherming (NGFG) op 27 juni 2018 heeft directeur Cecile Schut van de Autoriteit Persoonsgegevens (AP) meerdere interessante opmerkingen gemaakt met betrekking tot de Algemene verordening gegevensbescherming (AVG). Hieronder een opsomming:

Met betrekking tot handhaving

  • De AP richt zich in 2018 met onderzoek vooral op:
    • ontvangen klachten: iedere klacht moet worden onderzocht. In de eerste maand na ingang van de AVG heeft de AP zo’n 500 klachten ontvangen. Hiervan ging 33% over verwijderingsverzoeken en 20% over het verstrekken van gegevens aan derden;
    • of er is voldaan aan de verantwoordingsplicht;
    • op de sectoren overheid en zorg;
    • op de Meldplicht datalekken en
    • op gemelde datalekken.
  • Een (D)PIA wordt verplicht voor o.a. ’heimelijke informatieverzameling’, verwerking van gegevens over kredietwaardigheid, bestedingspatronen of financiële situatie. Kijk voor de volledige lijst op de website van de AP.
  • De vorm van het verwerkingsregister is vrij, maar elke verwerking van persoonsgegevens moet goed in kaart zijn gebracht.
  • Hoeveel tijd mag een organisatie nemen voor het onderzoeken van een incident (datalek), alvorens het gemeld wordt? De AP adviseert incidenten direct (binnen 72 uur) te melden, en daarna pas een onderzoek in te stellen. Het is altijd mogelijk een gedane melding inzake een datalek terug te trekken.
  • Tot nu toe heeft de AP geen boetes opgelegd.

Met betrekking tot certificering

  • Certificering voor de AVG wordt niet verplicht.
  • Het proces om een AVG certificering geaccrediteerd te krijgen, duurt 8 tot 18 maanden. De eerste accreditatie laat nog zeker tot eind 2018 op zich wachten. Meerdere partijen, waaronder internationale, hebben zich aangemeld voor accreditatie. De rol van de AP met betrekking tot accreditatie is beperkt tot compliance met het certificeringsschema.
  • Normenkaders kunnen opgesteld worden door een nationale schemabeheerder als de NEN, of door individuele / commerciële partijen. Accreditering staat omschreven in de AVG en moet dus ook op een goede manier worden georganiseerd. Vooral de manier waarop is van belang; het moet niet een te grote papierwinkel worden.
  • De AP gaat geen opleidingen tot Functionaris Gegevensbescherming verzorgen of certificeren. Dat zou de AP tot een marktpartij maken en dat past niet bij de rol van toezichthouder.

Met betrekking tot de Functionaris Gegevensbescherming

  • De AP heeft aandacht voor de positionering van de FG. Organisaties die de FG passeren in contacten met de AP, worden hierop gewezen.
  • Er hebben zich eind juni zo’n 7.000 FG’s aangemeld bij de AP.
  • Het kunnen inkopen van FG-diensten is in principe “een goede zaak”, mits de kwaliteit voldoende is: de FG moet aan bepaalde, in de AVG omschreven eisen voldoen. Het uit de zaal gegeven voorbeeld van een ‘FG op afroep’, zonder voldoende kennis van organisatie en context, valt daar waarschijnlijk niet onder.

Met betrekking tot organisaties en hun medewerkers/vrijwilligers

  • Een organisatie mag géén foto’s van werknemers op de website of op social media plaatsen zonder toestemming van die werknemers.
  • Mag je gegevens over ziekte van werknemers/vrijwilligers delen om bijvoorbeeld een beterschapskaartje te sturen? Volgens Cecile Schut mag een kaartje of een bloemetje altijd.

Door: Sander Kok, Privacy Professional

 

Autoriteit Persoonsgegevens start steekproef naleving privacyregels door private sectoren

Op de website van de Autoriteit Persoonsgegevens (AP) is te lezen dat er is gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de Europese privacywet naleven. Bij een willekeurige steekproef van dertig grote organisaties uit tien private sectoren onderzoekt de AP of zij een verwerkingsregister bijhouden. De AP voert de steekproef uit bij de volgende tien sectoren: industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg.

Kijk voor het hele bericht op de website van de Autoriteit Persoonsgegevens.

 

Jouw werkplek en de AVG

Het beschermen van privacygevoelige informatie is wettelijk steeds beter geregeld. Dit is uiteraard een goede ontwikkeling. Met de introductie van de AVG is ook het bewustzijn van veel medewerkers verhoogd. Helaas, zijn veel medewerkers niet of nauwelijks op de hoogte van alle AVG-regels. Uit onderzoek blijkt dat de grootste oorzaak van datalekken menselijk falen en/of procesfouten zijn.
Conform de AVG moeten organisaties en medewerkers de nodige stappen zetten om privacybescherming en informatiebeveiliging naar een hoger niveau te tillen. PrivacyCompass kan hierbij helpen. Wij geven medewerkers bewustzijn, passende kennis en nieuwe vaardigheden. Medewerkers zijn in staat actief met privacy om te gaan.

Om praktische invulling te geven aan de AVG, onderstaand een aantal tips waaruit blijkt dat de AVG voor elke medewerker geldt. Wij adviseren je om:

  • Openbare netwerken te vermijden. Als je laptop/computer toegang heeft tot internet via een openbaar netwerk, gebruik dan geen gevoelige programma’s. Voorbeelden van gevoelige programma’s zijn apps van je bank, e-mail, inloggen op je werkomgeving.
  • Gebruik een VPN-verbinding of maak een hotspot van je telefoon.
  • De computer/de laptop altijd te blokkeren bij het verlaten van je werkplek.
  • Niet te kiezen voor automatisch opslaan van inloggegevens op je computer, gebruik hiervoor een passwordmanager.
  • Je persoonlijke inloggegevens niet aan collega’s te geven, gebruik ook niet de inloggegevens van een collega.
  • Je inloggegevens niet op te schrijven en bewaar deze niet op of rond de werkplek.
  • Regelmatig je wachtwoorden te wijzigen.
  • Privacygevoelige gegevens niet te versturen per onbeveiligde e-mail aan derden.
  • Je telefoon te beveiligen met een toegangscode of vingerafdrukherkenning.
  • Documenten met persoonsgegevens niet onbeheerd achter te laten op je bureau of bij de printer.
  • Bakjes met papieren, die vaak op een bureau staan, aan het eind van de dag in een kast te zetten die op slot kan.
  • De zakelijke computer/ laptop etc. alleen zakelijk te gebruiken. Zo voorkom je datalekken, spelletjes zijn bijvoorbeeld regelmatig virus bronnen.
  • Bij te blijven met de updates van je computer, software etc. en zorg voor een goed antivirusprogramma.
  • Processen waar persoonsgegevens verwerkt worden in kaart te brengen en uit te schrijven zodat je inzicht krijgt in de risico’s.

Mocht jouw organisatie hulp nodig hebben neem dan contact op met PrivacyCompass.

 

Autoriteit Persoonsgegevens waarschuwt voor oplichter

De Autoriteit Persoonsgegevens (AP) krijgt signalen dat organisaties worden gebeld dat zij een boete moeten betalen omdat hun website niet voldoet aan de AVG.  Dit is geen actie vanuit de AP. Een boete van de AP komt nooit uit de lucht vallen. Er zal altijd een onderzoek aan voorafgaan. Wordt u ook benaderd? Neem dan contact op met de Autoriteit Persoonsgegevens.

AVG Helpdesk Zorg en Welzijn

Werk je in de zorg of het sociaal domein? Dan kun je met vragen over privacy en de AVG terecht bij de AVG-Helpdesk Zorg en Welzijn, een samenwerking tussen enkele koepelorganisaties en het ministerie van Volksgezondheid, Welzijn en Sport. Door afstemming met de Autoriteit Persoonsgegevens verstrekt de helpdesk eenduidige informatie.

de website van de AP

De AVG heeft ook gevolgen voor hoe organisaties FG’s moeten aanmelden bij de Authoriteit Persoonsgegevens (AP). Zo wil de AP bijvoorbeeld weten of er sprake is van een verplichte dan wel een vrijwillige FG. Ook wil de AP het eenvoudiger maken om een FG aan te melden.

Om dit alles goed in kaart te brengen dienen alle FG’s opnieuw worden aangemeld bij de AP via een formulier die zij per 3 april beschikbaar stelt.

Aanmelden is mogelijk vanaf 3 april 2018 via een nieuw formulier op de website van de AP.

 

LET OP!

Alle FG-aanmeldingen die niet met dit nieuwe onlineformulier zijn gedaan, komen per 25 mei 2018 te vervallen.

Dit geldt ook voor aanmeldingen die recent zijn gedaan.

Strengere privacy-eisen ook van toepassing op financiële sector

Vanaf 25 mei 2018 moeten alle organisaties voldoen aan de Europese Algemene Verordening Gegevensbescherming (AVG). Boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Geen kleinigheid dus. Privacy is een Europees grondrecht. De nieuwe wet breidt privacyrechten van burgers uit en legt meer verplichtingen op aan organisaties die persoonsgegevens verwerken.

Gevoelige persoonsgegevens
In de financiële sector wordt er vaak en veel met persoonsgegevens gewerkt. Bijvoorbeeld bij het verstrekken van een krediet of hypotheek, het verlenen van beleggingsdiensten of het saneren van schulden. In deze gevallen vraagt men nogal wat gevoelige persoonsgegevens aan klanten. Vaak is dat omdat de wet het vraagt. Identificatie bijvoorbeeld is wettelijk verplicht. Maar daar blijft het niet bij: de financiële huishouding van de klant wordt doorgelicht, zijn of haar persoonlijke situatie wordt tegen het licht gehouden. Is hij of zij getrouwd of gescheiden? Zijn er kinderen? Is er sprake van schulden? Komt de klant zijn aflossingsverplichtingen wel na? Dit soort vragen moeten beantwoord en vastgelegd worden. Via allerlei registers en systemen kan vrij gemakkelijk een precies beeld van het huishouden worden verkregen.

Strengere eisen
Zo komen er dagelijks zeer gevoelige persoonsgegevens van de klanten terecht in de computer van de financiële professional. Meestal in de vorm van burgerservicenummers (BSN), adresgegevens en salarisgegevens. Maar het kunnen ook bijzondere persoonsgegevens zijn, zoals gegevens over gezondheid. Aan het verwerken van deze gegevens worden nu al strenge eisen gesteld. Deze eisen worden dus nòg strenger vanaf 25 mei 2018. Dan zal in alle landen van de Europese Unie de AVG rechtstreeks gaan werken.

Autoriteit Persoonsgegevens houdt financiële sector in de gaten
Voldoet een bedrijf niet aan de privacywetgeving, dan zal de Autoriteit Persoonsgegevens (AP) krachtig optreden, zoals deze zomer al bleek bij een transportbedrijf. Het bedrijf maakte scans van de identiteitsdocumenten van vrachtwagenchauffeurs die goederen kwamen laden en verwerkte de gegevens in het eigen computersysteem voor onbepaalde tijd. Dat is niet toegestaan, zeker niet als er (online) geen extra beveiliging is om identiteitsfraude tegen te gaan. Wat wel mag is ter identificatie een ID-bewijs vragen. Daarvan een kopie maken en die vervolgens bewaren is bij een transportbedrijf niet toegestaan. Het is onnodig en er is geen wettelijke grondslag voor. De AP eiste dan ook beëindiging van de overtreding op straffe van een last onder dwangsom. Het bedrijf koos eieren voor zijn geld en veranderde het systeem volgens de aanwijzingen van de AP. Door deze affaire stond het bedrijf wel in het openbaar als overtreder bekend: met naam en toenaam. Niet bepaald prettig voor een bedrijf met een goede reputatie In dit geval was het een transportbedrijf, volgende keer kan het een financiële instelling zijn. De AP houdt de financiële sector met al zijn transacties en gevoelige persoonsgegevens zeker in de gaten. Verstandig dus om als bedrijf en als financiële professional in de aanloop naar de ingangsdatum van de nieuwe wet in mei 2018 na te gaan of je voldoet aan de strengere privacy-eisen.

Voorop lopen
Privacybescherming wordt een cruciaal onderdeel van moderne bedrijfsvoering. En dat niet alleen vanwege dreigende boetes, maar ook om als modern bedrijf voorop te kunnen lopen. Klanten en relaties willen dat hun persoonlijke gegevens en bedrijfsgegevens in veilige handen zijn. Wie dat gegeven serieus en door middel van privacy by default en privacy by design in de juiste systemen en processen weet te introduceren, kan de concurrentie een stap voor zijn.

Privacybescherming
Daarbij nog wel een kanttekening: zeker 70% van de datalekken wordt veroorzaakt door menselijke fouten. In steeds meer opleidingen zal privacybescherming dan ook een cruciaal onderdeel zijn van het curriculum. Dat geldt zeker ook voor de opleiding van een financiële professional. Vernieuwing kost tijd en geld, maar wie vooruit kijkt weet dat het een goede investering is.

Auteur: Ina Brouwer, general counsel PrivacyCompass.

Rechter geeft Autoriteit Persoonsgegevens er van langs

De Autoriteit Persoonsgegevens (AP) heeft afgelopen week in drie rechtszaken te horen gekregen dat zij onvoldoende handhavend optreedt, ondanks herhaald verzoek van bezorgde burgers. In een vierde zaak wilden burgers het oordeel van de AP niet afwachten en stapten met succes direct naar de rechter.

Lees HIER meer over dit nieuwsbericht.

Consumentenbond: zorgsites gaan slordig om met privacy bezoekers

Zeker twintig websites met medische informatie gaan slordig om met de privacy van bezoekers. Dat meldt de Consumentenbond. De sites plaatsten zonder toestemming van de bezoeker cookies, waarmee advertentiebedrijven als Google mensen kunnen volgen op internet. En dat is tegen de wet, zegt de Consumentenbond.

Lees HIER meer over dit nieuwsbericht.